Podstawy bezpieczeństwa sieci
Wykład 1: Wprowadzenie do bezpieczeństwa sieci
Strona główna Wykład 1 Wykład 2 Wykład 3 Wykład 4 Wykład 5 Wykład 6
1/20
Czym jest bezpieczeństwo informacji?
  • Witamy na pierwszym wykładzie z cyklu „Podstawy bezpieczeństwa sieci komputerowych".
  • Zanim przejdziemy do konfiguracji zapór ogniowych (firewalli), musimy poznać fundamenty tej dziedziny.
  • W dobie powszechnej cyfryzacji dane stały się najcenniejszym aktywem każdej nowoczesnej organizacji.
  • Głównym celem cyberbezpieczeństwa jest ograniczenie ryzyka udanego ataku do poziomu akceptowalnego dla organizacji.
  • Dzisiejsze zajęcia wprowadzą kluczowe pojęcia, które będą towarzyszyć nam przez cały semestr.
Koncepcja bezpieczeństwa informacji
2/20
Triada CIA: fundament bezpieczeństwa
  • Najważniejszym modelem w bezpieczeństwie IT jest Triada CIA: Confidentiality (Poufność), Integrity (Integralność), Availability (Dostępność).
  • Poufność (Confidentiality) gwarantuje, że dostęp do danych mają wyłącznie osoby do tego uprawnione.
  • Integralność (Integrity) zapewnia, że dane nie zostały zmodyfikowane w sposób nieautoryzowany lub przypadkowy.
  • Dostępność (Availability) oznacza, że systemy i dane są gotowe do użytku zawsze wtedy, gdy potrzebują ich uprawnieni użytkownicy.
  • Pamiętajmy: system idealnie bezpieczny, ale niedostępny (np. odłączony od sieci), jest bezużyteczny.
Triada bezpieczeństwa CIA
3/20
Dodatkowe atrybuty bezpieczeństwa
  • Poza triadą CIA wyróżniamy trzy uzupełniające cechy: autentyczność, niezaprzeczalność i rozliczalność.
  • Autentyczność pozwala nam jednoznacznie potwierdzić tożsamość użytkownika lub pochodzenie danych.
  • Niezaprzeczalność sprawia, że nadawca nie może wyprzeć się wykonanej operacji, np. zlecenia przelewu.
  • Rozliczalność to zdolność do przypisania konkretnego działania (np. usunięcia pliku) do danej osoby na podstawie logów systemowych.
  • Dzięki tym atrybutom wiemy dokładnie, „kto, co i kiedy" zrobił w systemie.
Rozszerzone atrybuty bezpieczeństwa
4/20
Podstawowa terminologia: aktywa
  • Aby skutecznie chronić organizację, musimy najpierw zidentyfikować jej aktywa (ang. assets).
  • Aktywa to wszystko, co ma wartość dla firmy i wymaga ochrony przed zagrożeniami.
  • Wyróżniamy aktywa sprzętowe (serwery, routery, laptopy), oprogramowanie (systemy operacyjne, bazy danych) oraz informacje.
  • Aktywa informacyjne, takie jak kody źródłowe, patenty czy dane osobowe, są często najcenniejszym elementem firmy.
  • Bez dokładnej inwentaryzacji zasobów nie jest możliwe zbudowanie skutecznej strategii obronnej.
Przykłady aktywów IT w organizacji
5/20
Podatności (ang. Vulnerabilities)
  • Podatność to słabość w zasobie lub zabezpieczeniach, którą może wykorzystać napastnik.
  • Może to być błąd w kodzie (np. przepełnienie bufora, ang. Buffer Overflow), błędna konfiguracja (domyślne hasła) lub czynnik ludzki.
  • Nawet najlepszy firewall nie pomoże, jeśli pracownicy zostawiają hasła na karteczkach przyklejonych do monitora.
  • Zarządzanie podatnościami (ang. Vulnerability Management) to proces ciągłego wyszukiwania i eliminowania takich luk.
  • W dzisiejszym świecie codziennie odkrywa się dziesiątki nowych błędów w popularnym oprogramowaniu.
Luki w oprogramowaniu i sprzęcie
6/20
Zagrożenia (ang. Threats)
  • Zagrożenie to każde zdarzenie lub działanie, które może wyrządzić szkodę naszym aktywom.
  • Należy odróżnić zagrożenie od podatności: „dziura" w programie to podatność, a haker próbujący ją wykorzystać to zagrożenie.
  • Zagrożenia dzielimy na celowe (ataki, szpiegostwo), przypadkowe (błąd administratora) oraz naturalne (pożar, powódź).
  • Ważnym zagrożeniem jest też brak zasilania, który uderza bezpośrednio w atrybut dostępności.
  • Zrozumienie, przed czym się bronimy, pozwala na dobór optymalnych metod ochrony.
Kategorie zagrożeń w sieci
7/20
Ocena i zarządzanie ryzykiem
  • Ryzyko to prawdopodobieństwo, że dane zagrożenie wykorzysta podatność i spowoduje stratę.
  • Klasyczna formuła oceny ryzyka to iloczyn prawdopodobieństwa wystąpienia zdarzenia oraz jego wpływu na organizację.
  • Istnieją cztery główne strategie reakcji na ryzyko: redukcja ryzyka (mitygacja), przeniesienie, unikanie lub akceptacja.
  • Redukcja ryzyka to np. instalacja poprawki bezpieczeństwa, a przeniesienie ryzyka to wykupienie polisy ubezpieczeniowej.
  • Czasem akceptujemy ryzyko, jeśli koszt zabezpieczenia przewyższa wartość chronionych danych.
Macierz oceny ryzyka IT
8/20
Kategorie hakerów: białe, czarne i szare kapelusze
  • W bezpieczeństwie klasyfikujemy hakerów według ich motywacji oraz legalności działań.
  • White Hat (białe kapelusze) to etyczni specjaliści ds. bezpieczeństwa, którzy testują systemy za zgodą właściciela.
  • Black Hat (czarne kapelusze) to przestępcy działający dla własnego zysku lub z chęci wyrządzenia szkód.
  • Grey Hat (szare kapelusze) działają w „szarej strefie" – mogą łamać prawo, ale często bez złych intencji.
  • Często informują oni właścicieli o lukach, licząc na nagrodę (tzw. bug bounty) za ich znalezienie.
Biały, Czarny i Szary kapelusz hakerski
9/20
Script Kiddies i haktywiści
  • Script Kiddies to osoby o niskich umiejętnościach, korzystające z gotowych narzędzi stworzonych przez innych.
  • Mimo braku wiedzy, są groźni ze względu na masowość i nieprzewidywalność swoich działań.
  • Haktywiści (Hacktivists) kierują się pobudkami politycznymi, ideologicznymi lub społecznymi.
  • Ich cele to najczęściej kompromitacja korporacji, podmiana treści stron (ang. defacement) lub ataki DDoS na serwisy rządowe.
  • W ich działaniach rozgłos medialny jest zazwyczaj ważniejszy niż zysk finansowy.
Gotowe zautomatyzowane narzędzia ataku
10/20
Grupy APT i cyberwojna
  • APT (ang. Advanced Persistent Threat – zaawansowane, trwałe zagrożenie) to najbardziej wyrafinowane grupy atakujących działające w sieci.
  • Są to zorganizowane grupy, często finansowane przez państwa i dysponujące ogromnymi zasobami.
  • Ich ataki są precyzyjne, długotrwałe i bardzo trudne do wykrycia przez standardowe systemy zabezpieczeń.
  • Celem grup APT jest zazwyczaj szpiegostwo przemysłowe, kradzież tajemnic państwowych lub sabotaż infrastruktury krytycznej.
  • Walka z takim przeciwnikiem wymaga najwyższych kompetencji i zaawansowanego monitoringu bezpieczeństwa.
Schemat ataku zaawansowanego APT
11/20
Motywacje cyberprzestępców – dlaczego nas atakują?
  • Kiedyś ataki służyły głównie zdobyciu sławy. Dziś cyberprzestępczość to potężny, dochodowy biznes.
  • Dominującą motywacją jest zysk: od wymuszeń za pomocą oprogramowania ransomware po kradzież danych kart płatniczych.
  • Ciemna sieć (ang. Dark Web) ułatwiła dostęp do usług przestępczych, oferując gotowe pakiety do przeprowadzania ataków.
  • Częstym celem jest też własność intelektualna, którą można sprzedać konkurencji na czarnym rynku.
  • Zrozumienie motywacji napastnika pomaga w lepszym oszacowaniu wektorów ataku na naszą organizację.
Znaczki motywacji: pieniądze, polityka
12/20
Defense in Depth: obrona warstwowa
  • Podstawową strategią jest Defense in Depth – budowanie wielu niezależnych warstw ochronnych (obrona warstwowa).
  • Zasada jest prosta: jeśli jedna linia obrony zawiedzie, kolejna musi powstrzymać intruza.
  • Można to porównać do zabezpieczeń zamku: fosa, mury, baszty i na końcu pilnie strzeżony skarbiec.
  • W IT stosujemy m.in. antywirusy, firewalle, szyfrowanie dysków i rygorystyczną kontrolę dostępu.
  • Dopiero suma tych wszystkich działań tworzy solidny i odporny system bezpieczeństwa.
Porównanie zamku do warstw IT
13/20
Klasyfikacja kontroli bezpieczeństwa
  • Zabezpieczenia dzielimy na trzy kategorie: fizyczne, techniczne (logiczne) oraz administracyjne.
  • Kontrole fizyczne to np. monitoring CCTV, zamki w szafach serwerowych i ochrona budynku.
  • Kontrole techniczne obejmują mechanizmy informatyczne: hasła, certyfikaty SSL/TLS czy listy kontroli dostępu (ACL).
  • Kontrole administracyjne (zarządcze) to polityki bezpieczeństwa, procedury i regularne szkolenia pracowników.
  • Skuteczna ochrona wymaga harmonijnego współdziałania wszystkich trzech rodzajów kontroli.
Podział kontroli zabezpieczeń na fizyczne logiczne
14/20
Koncepcja Security by Design
  • Kiedyś bezpieczeństwo „doklejano" do gotowego produktu na samym końcu, co generowało wiele błędów.
  • Security by Design (bezpieczeństwo wbudowane w projekt) zakłada uwzględnienie ochrony już na etapie projektowania architektury systemu.
  • Oznacza to, że każda linia kodu i każda usługa są tworzone z myślą o odpieraniu potencjalnych ataków.
  • Domyślne silne szyfrowanie czy rygorystyczna walidacja danych wejściowych są ważniejsze niż atrakcyjny wygląd aplikacji.
  • Dzięki temu podejściu gotowe oprogramowanie jest znacznie stabilniejsze i tańsze w utrzymaniu.
Idea wbudowania bezpieczeństwa w proces architektoniczny
15/20
Czynnik ludzki – najsłabsze ogniwo
  • Nawet najdroższe systemy oparte na sztucznej inteligencji nie zastąpią zdrowego rozsądku użytkownika.
  • Człowiek pozostaje najsłabszym elementem każdego łańcucha bezpieczeństwa informacji.
  • Wystarczy jeden nieostrożny pracownik, który uruchomi złośliwy załącznik, by zainfekować całą sieć firmową.
  • Dlatego edukacja i budowanie świadomości zespołu są najlepszą inwestycją w bezpieczeństwo organizacji.
  • Okresowe szkolenia i testy (np. symulowane phishing) pozwalają wyrobić u pracowników nawyki bezpiecznej pracy z danymi.
Człowiek za klawiaturą a zagrożenie
16/20
Socjotechnika, czyli ludzki hacking
  • Socjotechnika (ang. Social Engineering) to sztuka manipulacji ludźmi w celu wyłudzenia informacji lub dostępu do systemu.
  • Często łatwiej jest oszukać człowieka, niż złamać skomplikowany algorytm szyfrujący.
  • Phishing to najpopularniejsza metoda – podrobione wiadomości e-mail udają banki lub wewnętrzne działy księgowości.
  • Inną metodą jest podszywanie się pod przełożonego lub serwisanta w celu wyłudzenia dostępu do systemu lub obiektu.
  • Kluczem do obrony jest zasada ograniczonego zaufania i weryfikacja podejrzanych próśb niezależnym kanałem komunikacji.
Schemat ataku phishingowego
17/20
Ramy prawne w ochronie informacji
  • Ochrona danych to nie tylko technologia, ale również ścisłe przestrzeganie przepisów prawa.
  • RODO (ang. GDPR – General Data Protection Regulation) to kluczowe rozporządzenie, które nakłada surowe wymogi dotyczące ochrony danych osobowych.
  • Krajowy System Cyberbezpieczeństwa (KSC) oraz dyrektywa NIS2 wymuszają standardy bezpieczeństwa na operatorach infrastruktury krytycznej.
  • Niedopełnienie tych obowiązków może skutkować ogromnymi karami finansowymi nakładanymi na przedsiębiorstwa.
  • Prawo staje się motorem napędowym zmian, wymuszając na firmach dbałość o standardy bezpieczeństwa informacji.
Unijne ramy prawne i symbole legislacji
18/20
Etyka pracy w dziale bezpieczeństwa IT
  • Specjaliści ds. bezpieczeństwa mają dostęp do najbardziej poufnych danych w organizacji.
  • Taka pozycja wymaga nieskazitelnej etyki i pełnej odpowiedzialności za powierzone zasoby.
  • Podpisywanie umów o zachowaniu poufności (NDA – ang. Non-Disclosure Agreement) jest w tej branży standardem i absolutną koniecznością.
  • Wykorzystywanie uprawnień do prywatnych celów, np. czytania cudzej poczty, jest niedopuszczalne i stanowi naruszenie prawa.
  • Profesjonalizm w pracy specjalisty ds. bezpieczeństwa to połączenie wysokich kompetencji technicznych z nieskazitelną uczciwością.
Kłódka i symbole moralności
19/20
Rola centrum operacji bezpieczeństwa SOC
  • SOC (ang. Security Operations Center – centrum operacji bezpieczeństwa) to wyspecjalizowane jednostki, które monitorują bezpieczeństwo w trybie ciągłym (24/7).
  • Zespoły te analizują tysiące alertów systemowych, aby wykryć incydenty bezpieczeństwa w czasie rzeczywistym.
  • Ważnym elementem ich pracy jest aktywne poszukiwanie zagrożeń (ang. Threat Hunting) – proaktywne wyszukiwanie śladów ukrytych ataków.
  • Dzięki SOC organizacja może zareagować na atak zanim dojdzie do poważnego wycieku danych lub awarii systemu.
  • Współczesna walka z hakerami wymaga ciągłej czujności i szybkiej analizy ogromnych zbiorów danych.
Analitycy IT pracujący na wielomonitorowych systemach SOC
20/20
Podsumowanie i następny wykład
  • Podsumowując: bezpieczeństwo nie jest stanem, lecz procesem wymagającym ciągłego doskonalenia.
  • Metody obrony sprzed kilku lat są dziś często nieskuteczne wobec nowych narzędzi hakerskich.
  • Kluczem do sukcesu jest zachowanie równowagi między silnymi zabezpieczeniami a komfortem pracy użytkownika.
  • Zawsze pamiętaj o strategii obrony warstwowej i edukacji czynnika ludzkiego w organizacji.
  • Podczas następnego spotkania zagłębimy się w fascynujący świat współczesnej kryptografii.
Koniec drogi wstępu z bezpiecznymi zębatkami IT